Mentre ci avviciniamo al precipizio del 2016, prendiamo un minuto per riflettere sulle lezioni sulla sicurezza che abbiamo appreso nel 2015. Da Ashley Madison Ashley Madison Leak No Big Deal? Pensa ancora Ashley Madison Leak No Big Deal? Pensa di nuovo Discreet sito di appuntamenti online Ashley Madison (destinato principalmente ai coniugi truffatori) è stato violato. Tuttavia questo è un problema molto più serio di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza degli utenti. Per saperne di più, per i bollitori hackerati 7 motivi per cui l'Internet delle cose dovrebbe spaventarti 7 motivi per cui l'Internet delle cose dovrebbe spaventarti I potenziali benefici dell'Internet delle cose diventano più brillanti, mentre i pericoli sono proiettati nelle ombre silenziose. È tempo di attirare l'attenzione su questi pericoli con sette terrificanti promesse dell'IoT. Per saperne di più, e consigli di sicurezza ingannevoli da parte del governo, c'è molto di cui parlare.
Le case intelligenti sono ancora un incubo per la sicurezza
Il 2015 ha visto un afflusso di persone aggiornare i loro articoli domestici analogici esistenti con alternative computerizzate, connesse a Internet. La tecnologia Smart Home è decollata quest'anno in un modo che sembra destinato a continuare nel nuovo anno. Ma allo stesso tempo, è stato anche martellato a casa (mi dispiace) che alcuni di questi dispositivi non siano così sicuri.
La più grande storia di sicurezza della Smart Home è stata forse la scoperta che alcuni dispositivi venivano spediti con certificati di crittografia duplicati (e spesso codificati) e chiavi private. Non erano solo i prodotti Internet of Things. I router rilasciati dai principali ISP hanno scoperto di aver commesso questo cardinale dei peccati di sicurezza.
Quindi, perché è un problema?
In sostanza, questo rende banale per un utente malintenzionato spiare questi dispositivi attraverso un attacco "man-in-the-middle" Cos'è un attacco Man-in-the-Middle? Il gergo della sicurezza ha spiegato cos'è un attacco man-in-the-middle? Il gergo della sicurezza ha spiegato Se hai sentito parlare di attacchi "man-in-the-middle" ma non sei sicuro di cosa significhi, questo è l'articolo che fa per te. Leggi di più, intercettando il traffico mentre contemporaneamente non viene rilevato dalla vittima. Questo è preoccupante, dato che la tecnologia Smart Home viene sempre più utilizzata in contesti estremamente sensibili, come la sicurezza personale, la sicurezza della casa Nest Protect Review e Giveaway Nest Protect Review e Giveaway Leggi di più, e in ambito sanitario.
Se questo suona familiare, è perché alcuni importanti produttori di computer sono stati sorpresi a fare una cosa molto simile. Nel mese di novembre 2015, Dell ha scoperto che i computer con lo stesso certificato di root sono identificati come eDellRoot Gli ultimi laptop Dell sono stati infettati da eDellRoot Gli ultimi laptop Dell sono stati infettati da eDellRoot Dell, il terzo produttore mondiale di computer è stato catturato con certificati root su tutti i nuovi computer - proprio come Lenovo ha fatto con Superfish. Ecco come rendere sicuro il tuo nuovo PC Dell. Ulteriori informazioni, mentre verso la fine del 2014, Lenovo ha iniziato a interrompere intenzionalmente connessioni SSL Proprietari di laptop Lenovo Attenzione: il tuo dispositivo potrebbe avere malware preinstallato Proprietari di laptop Lenovo Attenzione: il tuo dispositivo potrebbe avere malware preinstallato Il produttore cinese di computer Lenovo ha ammesso che i portatili sono stati spediti a negozi e consumatori alla fine del 2014 il malware era preinstallato. Leggi di più per inserire pubblicità in pagine Web crittografate.
Non si è fermato qui. Il 2015 è stato davvero l'anno dell'insicurezza Smart Home, con molti dispositivi identificati come dotati di una vulnerabilità di sicurezza oscenamente evidente.
Il mio preferito era l'iKettle Perché l'iKettle Hack dovrebbe preoccuparti (anche se non ne possiedi uno) Perché l'iKettle Hack dovrebbe preoccuparti anche tu (anche se non ne possiedi uno) L'iKettle è un bollitore abilitato WiFi che apparentemente è venuto con un enorme difetto di sicurezza che aveva il potenziale di far esplodere intere reti WiFi. Per saperne di più (avete indovinato: un bollitore abilitato Wi-Fi), che potrebbe essere convinto da un utente malintenzionato a rivelare i dettagli del Wi-Fi (in chiaro, non meno) della sua rete domestica.
Affinché l'attacco funzioni, è stato prima necessario creare una rete wireless con spoofing che condividesse lo stesso SSID (il nome della rete) come quello a cui è collegato iKettle. Quindi collegandosi ad esso tramite l'utility UNIX Telnet e passando attraverso alcuni menu, è possibile vedere il nome utente e la password di rete.
Poi c'era lo Smart Fridge Samsung collegato a Wi-Fi. Lo Smart Fridge di Samsung Just Got Pwned. Che ne pensi del resto della tua casa intelligente? Lo Smart Fridge di Samsung è appena diventato pegno. Che ne pensi del resto della tua casa intelligente? Una vulnerabilità con il frigorifero intelligente Samsung è stata scoperta da Pen Test Parters, azienda infosec nel Regno Unito. L'implementazione di Samsung della crittografia SSL non controlla la validità dei certificati. Leggi altro, che non è riuscito a convalidare i certificati SSL e ha permesso agli aggressori di intercettare potenzialmente le credenziali di accesso a Gmail.
Poiché la tecnologia Smart Home diventa sempre più diffusa, e lo sarà, ci si può aspettare di sentire altre storie di questi dispositivi che arrivano con vulnerabilità critiche di sicurezza e cadere vittima di alcuni hack di alto profilo.
I governi continuano a non capirlo
Un tema ricorrente che abbiamo visto negli ultimi anni è quanto assolutamente ignaro sia la maggior parte dei governi in materia di sicurezza.
Alcuni degli esempi più eclatanti di analfabetismo infosec si possono trovare nel Regno Unito, dove il governo ha ripetutamente e coerentemente dimostrato che semplicemente non capiscono.
Una delle peggiori idee proposte in parlamento è l'idea che la crittografia utilizzata dai servizi di messaggistica (come Whatsapp e iMessage) debba essere indebolita, in modo che i servizi di sicurezza possano intercettarli e decodificarli. Come ha sottolineato in modo rilevante il mio collega Justin Pot su Twitter, è come spedire tutte le casseforti con un keycode principale.
Immaginate se il governo abbia detto che ogni cassaforte dovrebbe avere un secondo codice standard, nel caso in cui la polizia lo voglia. Questo è il dibattito sulla crittografia in questo momento.
- Justin Pot (@jhpot), 9 dicembre 2015
La situazione peggiora. Nel dicembre 2015, l'Agenzia nazionale per il crimine (la risposta del Regno Unito all'FBI) ha emesso alcuni consigli per i genitori Is Your Child a Hacker? Le autorità britanniche pensano che il tuo bambino sia un hacker? Le autorità britanniche pensano così L'NCA, l'FBI britannico, ha lanciato una campagna per scoraggiare i giovani dalla criminalità informatica. Ma il loro consiglio è così ampio che si potrebbe presumere che chiunque legga questo articolo sia un hacker, persino te. Leggi di più in modo che possano dire quando i loro figli sono sulla strada per diventare criminali informatici incalliti.
Queste bandiere rosse, secondo l'NCA, includono "sono interessati alla codifica?" E "sono riluttanti a parlare di ciò che fanno online?".
Questo consiglio, ovviamente, è spazzatura ed è stato ampiamente deriso, non solo da MakeUseOf, ma anche da altre importanti pubblicazioni tecnologiche e dalla comunità di infosec.
Il @NCA_UK elenca un interesse per la codifica come segnale di pericolo per il crimine informatico! Abbastanza sbalorditivo. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz
- David G Smith (@aforethought), 9 dicembre 2015
Quindi un interesse per la codifica è ora un "segnale di pericolo del crimine informatico". L'NCA è fondamentalmente un dipartimento IT della scuola degli anni '90. https://t.co/r8CR6ZUErn
- Graeme Cole (@elocemearg) 10 dicembre 2015
I bambini che erano "interessati alla codifica" sono diventati gli ingegneri che hanno creato #Twitter, #Facebook e il sito Web #NCA (tra gli altri)
- AdamJ (@IAmAdamJ) 9 dicembre 2015
Ma era indicativo di una tendenza preoccupante. I governi non ottengono sicurezza . Non sanno come comunicare sulle minacce alla sicurezza e non capiscono le tecnologie fondamentali che fanno funzionare Internet. Per me, è molto più preoccupante di qualsiasi hacker o cyber-terrorista.
A volte devi negoziare con i terroristi
La più grande storia sulla sicurezza del 2015 è stata senza dubbio l'hack Ashley Madison Leak No Big Deal di Ashley Madison? Pensa ancora Ashley Madison Leak No Big Deal? Pensa di nuovo Discreet sito di appuntamenti online Ashley Madison (destinato principalmente ai coniugi truffatori) è stato violato. Tuttavia questo è un problema molto più serio di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza degli utenti. Leggi di più . Nel caso tu abbia dimenticato, fammi ricapitolare.
Lanciato nel 2003, Ashley Madison era un sito di incontri con una differenza. Permetteva alle persone sposate di entrare in contatto con persone che in realtà non erano i loro coniugi. Il loro slogan ha detto tutto. "La vita è breve. Avere una relazione."
Per quanto grossolano, è stato un successo in fuga. In poco più di dieci anni, Ashley Madison aveva accumulato quasi 37 milioni di account registrati. Anche se è ovvio che non tutti erano attivi. La stragrande maggioranza era dormiente.
All'inizio di quest'anno, è diventato evidente che non tutto andava bene con Ashley Madison. Un misterioso gruppo di hacker chiamato The Impact Team ha rilasciato una dichiarazione sostenendo che erano stati in grado di ottenere il database del sito, oltre a una considerevole quantità di cache di e-mail interne. Hanno minacciato di rilasciarlo, a meno che Ashley Madison non fosse stata chiusa, insieme al suo sito affiliato Established Men.
Avid Life Media, che sono i proprietari e gli operatori di Ashley Madison e Established Men, ha pubblicato un comunicato stampa che ha minimizzato l'attacco. Hanno sottolineato che stavano collaborando con le forze dell'ordine per rintracciare gli autori e "erano in grado di proteggere i nostri siti e chiudere i punti di accesso non autorizzati".
Dichiarazione di Avid Life Media Inc .: http://t.co/sSoLWvrLoQ
- Ashley Madison (@ashleymadison), 20 luglio 2015
Il 18 agosto, Impact Team ha rilasciato il database completo.
È stata un'incredibile dimostrazione della rapidità e della natura sproporzionata della giustizia di Internet. A prescindere da ciò che pensi di imbrogliare (lo odio, personalmente), qualcosa ci è sembrato completamente sbagliato . Le famiglie sono state fatte a pezzi. Le carriere sono state istantaneamente e molto pubblicamente rovinate. Alcuni opportunisti hanno anche inviato email di estorsione agli abbonati, tramite e-mail e per posta, a mungendole da migliaia di persone. Alcuni pensavano che le loro situazioni fossero così disperate, che dovevano togliersi la vita. E 'stato brutto 3 motivi per cui l'Ashley Madison Hack è un affare serio 3 motivi per cui l'Ashley Madison Hack è un affare serio Internet sembra estatico per l'hack di Ashley Madison, con milioni di adulteri e potenziali dettagli degli adulteri tagliati e pubblicati online, con articoli in uscita individui trovati nel dump dei dati. Esilarante, giusto? Non così in fretta. Leggi di più
L'hack ha anche puntato i riflettori sul funzionamento interno di Ashley Madison.
Hanno scoperto che delle 1, 5 milioni di donne che erano registrate sul sito, solo circa 10.000 erano veri esseri umani genuini. Il resto erano robot e conti falsi creati dallo staff di Ashley Madison. Era un'ironia crudele che la maggior parte della gente che si iscrisse probabilmente non ha mai incontrato nessuno. Era, per usare una frase un po 'colloquiale, una "festa della salsiccia".
la parte più imbarazzante del tuo nome è trapelata dal trucco di Ashley Madison, hai flirtato con un bot. per soldi.
- verbally spacey (@VerbalSpacey), 29 agosto 2015
Non si è fermato qui. Per $ 17, gli utenti potrebbero rimuovere le loro informazioni dal sito. I loro profili pubblici verrebbero cancellati e i loro account verrebbero eliminati dal database. Questo è stato usato da persone che si sono iscritte e poi se ne sono pentite.
Ma la fuga ha dimostrato che Ashley Maddison non ha effettivamente rimosso i conti dal database. Invece, erano semplicemente nascosti alla rete pubblica. Quando il loro database utente è trapelato, così erano questi account.
BoingBoing days La discarica di Ashley Madison include informazioni su chi ha pagato AM per cancellare i propri account.
- Denise Balkissoon (@balkissoon), 19 agosto 2015
Forse la lezione che possiamo imparare dalla saga di Ashley Madison è che a volte vale la pena accettare le richieste degli hacker.
Diciamo la verità. Avid Life Media sapeva cosa c'era nei loro server . Sapevano cosa sarebbe successo se fosse trapelato. Avrebbero dovuto fare tutto ciò che era in loro potere per impedirgli di essere trapelato. Se ciò significava chiudere un paio di proprietà online, così sia.
Siamo schietti. Le persone sono morte perché Avid Life Media ha preso una posizione. E per cosa?
Su una scala più piccola, si può sostenere che spesso è meglio soddisfare le richieste degli hacker e dei creatori di malware. Il ransomware è un ottimo esempio di questo non fatevi ingannare dagli scammers: una guida per il ransomware e altre minacce non farete cadere i truffatori: una guida al ransomware e altre minacce Ulteriori informazioni. Quando qualcuno è infetto e i suoi file sono crittografati, le vittime vengono richieste per un "riscatto" per decrittografarle. Questo è generalmente nei limiti di $ 200 o giù di lì. Quando vengono pagati, questi file vengono generalmente restituiti. Affinché il modello di business ransomware funzioni, le vittime devono avere qualche aspettativa di poter recuperare i loro file.
Penso che andando avanti, molte delle aziende che si trovano nella posizione di Avid Life Media si chiederanno se una posizione provocatoria è la migliore da prendere.
Altre lezioni
Il 2015 è stato un anno strano. Nemmeno io sto parlando di Ashley Madison.
VTech Hack VTech ottiene hackerato, Apple odia Jack per cuffie ... [Tech News Digest] VTech ottiene hackerato, Apple odia Jack per cuffie ... [Tech News Digest] Gli hacker denunciano gli utenti di VTech, Apple ritiene di rimuovere il jack per le cuffie, le luci di Natale possono rallenta il tuo Wi-Fi, Snapchat va a letto con (RED) e ricorda lo Star Wars Holiday Special. Leggi di più è stato un punto di svolta. Questo produttore di giocattoli per bambini di Hong Kong ha offerto un tablet tablet bloccato, con un app store adatto ai bambini e la possibilità per i genitori di controllarlo a distanza. All'inizio di quest'anno, è stato violato, con oltre 700.000 profili di bambini che sono trapelati. Questo ha dimostrato che l'età non è una barriera per essere vittima di una violazione dei dati.
È stato anche un anno interessante per la sicurezza del sistema operativo. Mentre sono state sollevate domande sulla sicurezza generale di GNU / Linux, Linux è stato vittima del proprio successo? Linux è stato vittima del proprio successo? Perché il capo della Linux Foundation, Jim Zemlin, ha recentemente affermato che "l'età d'oro di Linux" potrebbe presto finire? La missione di "promuovere, proteggere e far avanzare Linux" ha fallito? Per saperne di più, Windows 10 ha fatto grandi promesse di essere il Windows più sicuro di sempre 7 modi Windows 10 è più sicuro di Windows XP 7 modi Windows 10 è più sicuro di Windows XP Anche se non ti piace Windows 10, dovresti davvero essere migrato da Windows XP ormai. Vi mostriamo come il sistema operativo 13enne è ora pieno di problemi di sicurezza. Leggi di più . Quest'anno siamo stati costretti a mettere in discussione il detto che Windows è intrinsecamente meno sicuro.
Basti dire che il 2016 sarà un anno interessante.
Quali lezioni di sicurezza hai appreso nel 2015? Avete qualche lezione sulla sicurezza da aggiungere? Lasciali nei commenti qui sotto.